Percebo que qualquer coisa que adiciono Security Filteringtambém aparece em Delegation, então não tenho certeza de como ou por que ambos existem e se são redundantes ou não?
Até agora, eu estava usando exclusivamente Security Filteringpara determinar se um GPO é aplicado e a quais grupos, mas agora há um novo patch para o Windows Server que impede a aplicação de meus GPOs, a menos que eu adicione Domain Computersa Security Filtering... ( GPOs não são aplicados; motivo: Inacessível, vazio ou desativado; Server 2012 R2 e Windows 10 )
Isso parece muito confuso para mim, pois sempre pensei que os direitos de GPO seriam lidos independentemente com base em toda a minha experiência com privilégios do Windows. Em outras palavras, se eu tiver Bobe Sueem Group Ae Bobe em , Bille adicionar e a um GPO com e definir, espero que o GPO se aplique a , , e . (Efetivamente uma operação lógica: se um usuário estiver em ou , aplique a política).SarahGroup BGroup AGroup BReadApplyBobSueBillSarahORGroup AGroup B
Portanto, se eu adicionar Group Ae Domain Computersà Security Filteringguia, esperaria que o GPO se aplicasse a Bobe Sue, mas também a todos os computadores do domínio, tornando-se efetivamente Group Aredundante, pois todos os computadores que receberem o GPO sempre farão parte do domínio.
No entanto, a postagem do usuário Adwaenyth ( Falha ao aplicar GPOs; motivo: Inacessível, Vazio ou Desativado; Servidor 2012 R2 e Windows 10 ) parece implicar que Security Filteringagora está operando por meio de um ANDtipo de lógica, em que o destino deve ser um membro de todos os grupos para o GPO aplicar. No meu exemplo de Group Ae Group Bacima, então, só Bobaplicaria o GPO, pois ele é o único nos dois grupos.
Todo esse mistério seria resolvido para mim se eu apenas precisasse adicionar Readdireitos, e não Apply direitos, a Domain Computers. Domain ComputersMas então por que preciso adicionar Security Filteringonde Applyos direitos são concedidos automaticamente? Tudo isso volta novamente à mesma questão de qual é, efetivamente, a diferença entre Security Filteringe Delegation? Estou ciente de que Delegationtambém é para conceder aos usuários e administradores limitados a capacidade de editar, modificar ou excluir um GPO. Mas e se eu usar Delegationpara dar manualmente uma entidade Reade Applydireitos? Isso é o mesmo que colocar a entidade Security Filtering?
Esta questão também é colocada aqui: um GPO se aplica se a guia "Filtragem de segurança" estiver vazia, mas houver um grupo de segurança em Delegação com o direito Ler e Aplicar?
Se você usar a guia de delegação de um GPO e clicar em avançado, poderá atribuir as permissões Ler e Aplicar a um usuário ou grupo. se você fizer isso (e se o GPO estiver vinculado ao nível correto), o GPO será aplicado a esse usuário ou grupo. mais do que isso, se você usar a guia de delegação e clicar em avançado e atribuir as permissões de leitura e aplicação a um usuário ou grupo, esse usuário ou grupo aparecerá na seção de filtragem de segurança do GPO.
ao contrário, se você editar a seção de filtragem de segurança e adicionar um usuário ou grupo, esse usuário ou grupo aparecerá na guia de delegação e, se você olhar para avançado, verá que o usuário ou grupo apareceu lá com as permissões de leitura e aplicação.
Portanto, a filtragem de segurança e a guia de delegação avançada estão fazendo a mesma coisa!
No entanto, usando a guia delegação, você pode atribuir permissão adicional para o GPO para poder atribuir permissão para editar o GPO, por exemplo. em suma, a guia de delegação é mais poderosa, mas se você deseja apenas que o GPO se aplique a um usuário ou grupo, pode usar a filtragem de segurança ou a seção adv da guia de delegação.